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.. 1 
Beschreibung 

Verfahren zur Authent ikat ion 

Die vorliegende Erfindung betrifft ein Verfahren zur Authen- 
tication eines Datensatzes zwischen einer beweisf uhrenden 
Einheit und einer verif izierenden Einheit in der Datenverar- 
beitung . 

Im Bereich der Verwendung von Chipkarten als Kredit-, Debit-, 
Geld- , Identif ikations- , Zugangs- oder Zeitkontrollkarten 
etc. oder etwa als Nachrichtentrager stellt die Frage des 
Schutzes der auf der Karte vorhandenen Inf ormationen vor ei- 
nem unberecht igten Zugriff Dritter ein zentrales Problem dar. 
Ein besonderer Aspekt ist dabei auch die gesicherte Daten- 
ubertragung zwischen der Chipkarte und z.B. dem CAD (card ad- 
apter device) eines Chipkartenterminals . Dies wird durch den 
ProzeS der sog. Authent ikat ion der beteiligten Einheiten, 
hier der Chipkarte und dem Terminal, ermoglicht: dabei ge- 
langt z.B. das Terminal zu dem hinreichend gesicherten Nach- 
weis fiber die Identitat der mit ihm in einem Protokoll 
befindlichen Chipkarte. Im Gegenzug kann durch einen entspre- 
chenden ProzeS auch die Chipkarte Sicherheit uber die Identi- 
tat des Terminals im Moment der gegenseit igen Uberprufung 
erlangen. Entsprechendes gilt auch fur die Authent izitat der 
ubertragenen Daten. 

Der Nachweis der Identitat kann dadurch geliefert werden, dafe 
nur den beteiligten Einheiten bekannte, geheime Inf ormat ionen 
ausgetauscht werden. Man unterscheidet hierbei die sog. 
schwache und starke Authent ikation . Bei der erstgenannten 
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gibt z.B. der Besitzer einer Magnetstreif enkarte ein PaSwort 
oder eine PIN uber eine Tastatur ein und authent if iziert sich 
somit als rechtmaSiger Eigentumer seiner Karte. Hierbei wird 
das Geheimnis iibertragen. Bei der starken Authent ikation 
5 tauscht in einem sog. Challenge-Response-Verfahren eine die 
Identitat des Protokollpartners verif izierende Einheit (im 
folgenden engl . verifier genannt) in einem Dialog mit der 
uber ihre Identitat beweisf uhrenden Einheit (im folgenden 
engl. prover genannt) Authentisierungsinf ormation aus, die 
10 das Vorhandensein eines Geheimnisses belegt, ohne dies aber 
^ einem Angreifer preiszugeben . Das Protokollverf ahren zwischen 
den Einheiten ist dabei meist a priori f estgelegt . 

Werden nach oder anstatt Inf ormat ionen uber die Identitat der 
15 beteiligten Einheiten nur Daten transf eriert , welche einem 

ahnlich hohen Sicherheitsbediirf nis unterliegen, so kann unter 
Anwendung eines analogen Protokollverf ahrens auch verallge- 
meinert von einer Datenauthent ikation gesprochen werden. Ein 
bekanntes Beispiel hierzu sind etwa die noch vorhandenen 
2 0 Geldbetrage auf Telef onkarten, welche dem Telef onterminal von 
der Karte authentisch mitgeteilt werden. 

Bei der fur Chipkarten besonders wichtigen starken Authentic 
kation haben sich im wesentlichen zwei Ansatze fur verschie- 

25 dene Anwendungen herauskristallisiert . Vom Einsatz bei Tele- 
fon.karten (Geldkarten) her bekannt ist die Verwendung von 
symmetrischen Authentikat ionsverf ahren zum Austausch von 
Identitatskennzeichen und Daten. Das Grundprinzip besteht 
darin, daf3 fur die Authent ikation der Karte (des Provers) ge- 

30 gemiber dem Terminal (dem Verifier) dieses zunachst der Karte 
eine Zufallszahl sendet, welche aus dieser Zufallszahl mit 
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einem beiden Einheiten bekannten Geheimschlussel unter Ver- 
wendung eines geeigneten Verfahrens einen Authent ikat ionswert 
errechnet und anschlieSend dem Terminal zurucksendet . Dieses 
erkennt durch Vergleich der mit seinem Schlussel durchgefuhr- 
5 ten Berechnungen mit der ursprunglich gesendeten Zufallszahl, 
ob die Karte den authorisierten Schlussel verwendet hat. Der 
Karten- und Terminalhersteller verwendet hierzu oft das sog. 
Masterkey-Konzept , bei dem in j edem Terminal dieser Masterkey 
hinterlegt ist, aus welchem sich der bei der Kartencodierung 
10 (engl. card personalization) der Karte zugeordnete individu- 
elle Schlussel mittels eines Algorithmus aus ihrer Identi- 
tatskennzahl berechnen laSt . Ein alterer, bekannter Standard 
hierzu ist der data encryption standard (DES) . 

15 Gelingt es einem Angreifer in den Besitz des Masterkeys zu 

gelangen, so entsteht das Problem, daS das gesamte System fur 
diesen offengelegt ist. Dieser Nachteil konnte durch Verwen- 
dung individuell fur jede Karte hinterlegter Schliisselpaare 
umgangen werden, welches j edoch beispielsweise durch die hohe 

2 0 Zahl im Umlauf befindlicher Telef onkarten und damit Schlussel 
unpraktikabel ist. Im Falle von Telef onkarten behilft man 
sich heute umstandlich mit weiteren kryptographischen MaSnah- 
men, welche auch einen Wechsel und eine eingeschrankte Gul- 
tigkeit der Masterkeys beinhalten. 

25 

Eine Alternative zu den symmetrischen Verfahren stellt das 
Versenden digitaler Signaturen in asymmetrischen Verfahren 
dar . Der Verifier (das Terminal) erzeugt eine Zufallszahl und 
sendet diese an den Prover (die Karte) . Dieser signiert die 
30 Zufallszahl mit einem Verfahren zum Erzeugen digitaler Signa- 
turen unter Verwendung eines nur ihm bekannten privaten 
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Schlussels eines Schliisselpaares - der offentliche Schlussel 
liegt sowohl dem Prover als auch insbesondere dem Verifier 
vor. An den Verifier zuruckgesendet , wird die digitale Signa- 
tur mit dem offentlichen Schlussel auf ihre Korrektheit iiber- 
5 pruft, wobei der Verifier nicht in Kenntnis des privaten 

Schlussels gelangt, sondern nur die Information erhalt, daS 
der Prover sich im Besitz des privaten Schlussels befindet 
und damit authentif iziert ist . Ein haufig benutzter Algorith- 
mus fur diese Methode stammt von Rivest, Shamir und Adleman 
10 (RSA) . 

Leider ist bei diesen Verfahren unter Verwendung digitaler 
Signaturen ein hoher Rechenauf wand bedingt durch die Lang- 
zahl-Modulo-Arithmetik auf Seiten des Provers, also z.B. auf 

15 einer Chipkarte, notwendig. Typischerweise mussen dabei zwei 
sehr groSe Zahlen miteinander multipliziert und wieder modu- 
lar reduziert (auf die UrsprungsgroSe zuriickgebracht ) werden. 
Die Hardwareimplementierung auf dem Chip einer Chipkarte 
fuhrt dadurch einerseits zu einer kost enauf wendigeren Chip- 

20 kartenherstellung oder auch zu unannehmbar langen Rechen- und 
Antwort zeiten . 

Es ist daher die Aufgabe der Erfindung die Kosten und den im- 
plementierungstechnischen Aufwand bei der Authentikat ion von 
25 Daten, insbesondere auch bei der Ident if ikat ion der beteilig- 
ten Einheiten, zu senken. 

Die Aufgabe wird erf indungsgemaS durch die MalSnahmen des Pa- 
tentanspruches 1 gelost . 

30 
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Gemafi der vorliegenden Erfindung wird ein Dialog eingefiihrt, 
bei welchem eine beweisende Einheit einer verif izierenden 
Einheit unter Verwendung asymmetrischer kryptographischer 
Schliissel die Authentizitat der von ihr ubermittelten Daten 

5 nachweist . Insbesondere kann sie dabei auch ihre eigene Iden- 
titat nachweisen. Als Einheiten werden direkt miteinander in 
Kontakt tretende Module betrachtet, wobei ein beliebiger 
Ubertragungsweg, z.B. elektronisch, lichtoptisch, akustisch 
etc. benutzt werden kann, und es sich bei den Modulen urn in- 

0 tegrierte Schaltungen enthaltende Systeme handelt, z.B. Chip- 
karten, Kartenterminals , Datenverarbeitungsanlagen wie 
Personal -Computer oder Server, etc. 

Bei dem Verfahren wird ein Paar von offentlichen und privaten 
5 Schliisseln verwendet, wovon der private Schliissel nur der be- 
weisf iihrenden Einheit, dem Prover, bekannt ist, wahrend bei 
beiden Einheiten der zum privaten Schliissel passende offent- 
liche Schliissel hinterlegt ist, welches entweder durch eine 
vorab gesendete Nachricht bzw. eine Vorabinstallat ion oder 
0 durch eine Online -Verbindung zu einem zentralen Server auf 

Seiten der verif izierenden Einheit, dem Verifier, bewerkstel- 
ligt werden kann. 

Ein wesentlicher Teilschritt des Verfahrens besteht darin, 
5 beiden beteiligten Einheiten, dem Prover und dem Verifier, 

den ; Datensatz , welcher authentif iziert werden soli, im Klar- 
text bereitzustellen. Die Ubertragung dazu kann verschliissel t 
oder unverschliisselt erfolgen. Bei der Datenauthent ikat ion 
ist der Datensatz typischerweise zunachst beim Prover vorhan- 
0 den, wobei dieser dann den Datensatz an den Verifier iibermit- 
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telt, wahrend bei der Einheitenauthentikation auch der Daten- 
satz vom Verifier an den Prover ubermittelt werden kann. 

In den Schritten b) bis e) , also im ersten Teil des Dialoges, 
wird dem Prover wenigstens ein Datenelement , welches im zwei- 
ten Teil des Dialoges als symmetrischer, nur den beiden Ein- 
heiten bekannter Schlussel dient, vom Verifier in verschlus- 
selter Form zugestellt. Dies entspricht zunachst einem asym- 
metrischen Verfahren, denn der Prover benutzt seinen privaten 
Schlussel, um das Datenelement zu entziffern. Zwar hat wie in 
einem herkommlichen asymmetrischen Chal 1 enge - Respons e - Prot o - 
koll der Prover einen privaten Schlussel, jedoch verwendet er 
ihn im Gegensatz dazu erf indungsgemaS nicht zur Bildung einer 
digitalen Signatur, sondern nur zur Entschlusselung des emp- 
fangen, spater selbst als Schlussel dienenden wenigstens ei- 
nen Datenelementes . Die Schritte b) bis e) folgen in ihrem 
zeitlichen Ablauf der im Anspruch angegebenen Reihenfolge. 

Nach Schritt e) befinden sich die beiden Einheiten im Besitz 
des Klartextes des wenigstens einen Datenelementes. Der Aus- 
tausch von mehr als nur einem Datenelement bietet sich an, 
wenn bei der Anwendung eines in den nachf olgenden Schritten 
vorgesehenen Algorithmus mehrfache Verknupf ungen des eigent- 
lich zu authent isierenden Datensatzes mit den mehreren Da- 
tenelementen durchzuf iihren sind. 

Die zur Erzeugung, Verschlusselung , Ubertragung und Ent- 
schlusselung der mehreren Datenelemente jeweils notwendigen 
Sequenzen von Schritten konnen in beliebiger zeitlicher Zu- 
ordnung zueinander ausgefiihrt werden. Die relative zeitliche 
Zuordnung spielt also keine Rolle, es miissen aber alle Da- 
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tenelemente zu Beginn von Schritt f) beim Prover unverschlus- 
selt vorliegen. 

In Schritt f) wird der zu authent isierende Datensatz unter 
Zuhilfenahme des wenigstens einen Datenelementes authenti- 
siert. Hierbei kann es sich wieder urn ein asymmetrisch.es 
zweites kryptographisch.es Verfahren handeln, wenn namlich das 
wenigstens eine Datenelement vom Verifier als offentlicher 
Schliissel zu einem weiteren, nur dem Verifier bekannten, pri- 
vaten Schliissel erzeugt wurde . Vorzugsweise wird hier jedoch 
ein symmetrisches zweites kryptographisches Verfahren AUTGEN 
verwendet . Der vermittels AUTGEN in Abhangigkeit von dem we- 
nigstens einen Datenelement aus dem zu authent isierenden Da- 
tensatz gebildete - hier Authent ikator genannte - 
transf ormierte Datensatz wird vom Prover wieder an den Veri- 
fier gesendet . 

Der Verifier besitzt damit die Information iiber den Daten- 
satz, den symmetrischen Schliissel, d.h. das von ihm selbst 
versendete, wenigstens eine Datenelement, den Authent ikator 
sowie einen auf das Verfahren AUTGEN abgestimmten Authentika- 
t ionspriif algorithmus . Dieses kann anhand des vorhandenen sym- 
metrischen Schlussels den empfangenen Authent ikator des 
Provers mit dem ursprunglichen Datensatz auf Korrektheit pru- 
f en. 

Im letzten Schritt wertet der Verifier diesen Vergleich aus : 
gehoren empfangener Authent ikator und urspriingl icher Daten- 
satz zusammen, so gilt die Nachricht als vom Prover ubermit- 
telt . Weitere Kommunikat ionsschritte konnen dann f olgen . Bei 
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Nichtubereinstimmung kann der Verifier vorzugsweise die Kom- 
munikation abbrechen. 

Bei diesem Verfahren entsteht ein groSer Vorteil dadurch, daS 
die im sicherheitstechnischen Sinn den symmetrischen Verfah- 
ren iiberlegenen Eigenschaf ten des Pubic -Key- Ansat zes , also 
der a symmetrischen Verfahren, ausgenutzt werden, ohne daS der 
bisher iibliche implement ierungstechnische Aufwand dabei an- 
fallt, denn es ist beim erf indungsgemaSen Verfahren nicht 
mehr erf orderlich, eine rechenintensive Langzahl -Modulo- 
Arithmetik berei t zustellen . Ein besonders bei Chipkarten ent- 
stehender Vorteil ist, daS der private Schlussel nur noch auf 
der Seite des Provers, hier also der Karte, dauerhaft gespei- 
chert werden mufi, ohne daS der Verifier im Laufe des Dialoges 
in Kenntnis des Schlussels kommt . Durch eine Implement ierung 
mit aufeinander aufbauenden Rechenverf ahren kann der auf dem 
Chip einer Chipkarte benotigte Platz fur die Kardwareimple- 
mentierung erheblich verringert werden. 

Nach einer weiteren Ausf iihrungsf orm wird der Datensatz in 
Schritt a) vom Prover an den Verifier in unverschlusselter 
Form, also als Klartext ubermittelt. Dieser Schritt findet 
vor Schritt h) statt,"aus Zeitgrunden idealerweise zusammen 
mit der Ubersendung des Authent ikators direkt vor oder nach 
Schritt g) . Diese Verf ahrensf orm ist besonders gunstig fur 
die Datenauthentikation . 

Nach einer weiteren Ausf uhrungsf orm wird der Datensatz in 
Schritt a) vom Verifier als Zuf allselement erzeugt und dem 
Prover ubermittelt. Vorteilhaft ist es die Ubermittlung asym- 
metrisch verschliisselt durchzuf iihren, da dann einem potent i- 
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ellen Angreifer auch der Datensatz selber nicht zuganglich 
ist. Bei der verschlusselten Ubermittlung konnen der gleiche 
Algorithmus und die gleichen Schlusselpaare wie in den 
Schritten b) bis e) verwendet werden, wodurch vor allem bei 
5 Chipkarten bei der Hardwareimplementat ion eine plat zsparende 
Umsetzung ermoglicht wird. Andererseits werden hier keine 
originaren Daten vom Prover an den Verifier iibermittelt, so 
dafi sich diese Ausf uhrungsf orm besonders vorteilhaft fur die 
Einheitenauthentikation eignet . Der Schritt a) wird in dieser 

10 Ausf uhrungf orm an beliebiger Schrittposition vor Schritt f ) 

^ ausgef uhrt . 

Wie in einer weiteren Ausf uhrungs form beschrieben ist, kann 
der Authentikationspriif algorithmus AUTVER dem gleichen Algo- 
ls rithmus entsprechen wie das vorher angewandte Verfahren AUT- 
GEN. Die eigentliche Authent ikationsprufung wird dann vom Ve- 
rifier in ahnlicher Weise wie bei der Authentikatorerzeugung 
AUTGEN durch Anwendung dieses Authent ikationsalgorithmus auf 
den Datensatz im Klartext mit dem wenigstens einen Datenele- 
2 0 ment als Schlussel durchgef uhrt : das Ergebnis ist gleich dem 
vom Prover zugesandten Authent ikator , nur wenn dieser of fen- 
^ sichtlich Besitzer des zum ersten asymmetrischen Verschlusse- 
lungsverf ahren gehorigen privaten Schlussels ist. In diesem 
Fall akzeptiert der Verifier die Nachricht als vom Prover 
25 ubermittelt. 

In einer weiteren Ausf uhrungsf orm wird der Authentikat ionsal - 
gorithmus aus Schritt h) als zweites Ent schliisselungsverf ah- 
ren ausgebildet, welches mit dem zweiten Verschliisselungsver- 
30 fahren verschliissel te Nachrichten ent schliisseln kann. Unter 
Verwendung des als Schlussel dienenden, wenigstens einen Da- 
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tenelementes kann der Verifier den Authent ikator entschliis- 
seln und erhalt damit einen Datensatz, welcher mit dem ur- 
spriinglich im Klartext iibermittelten Datensatz verglichen 
werden kann. 

5 

Wie in einer weiteren Ausf iihrungsf orm vorgesehen ist, konnen 
in dem Fall, dafe mehrere Datenelemente iibertragen und zur 
zweiten Verschliisselung in Schritt f) beim Prover herangezo- 
gen werden, die Schritte b) bis e) fur ein einzelnes Da- 
10 tenelement auch blockweise ausgefuhrt werden, nach deren 

Ausfuhrung die gleichen Schritte wieder fur das nachste Da- 
tenelement ausgefuhrt werden etc. Dies entspricht dann einer 
Wiederholung der Schritte b) bis e) mit der Haufigkeit der 
benutzten Datenelemente. 

15 

In einer weiteren Ausbildung ist die Verwendung diskreter Ex- 
ponentiation fur das erste Ver- und Ent schlusselungsverf ahren 
vorgesehen. Dieses ist besonders vorteilhaft, da es einer- 
seits ein hohes MalS an Sicherheit ermoglicht, denn das Pro- 

2 0 blem des diskreten Logarithmus kann von Angreifern - bei 

geeigneter Wahl der verwendeten algebraischen Basisstruktur - 
nur durch im Aufwand besonders stark mit der GroSe des Expo- 
nenten ansteigenden Losungstechniken behandelt werden. 
Gleichzeitig wird nur wenig Speicherplat z auf z.B. einer 
25 Chipkarte benotigt . 

In weiteren Ausbildungen sind besonders vorteilhaft ausge- 
fuhrte Algorithmen fur die Ver- und Ent schlusselungsverf ahren 
sowie die Authent ikatorerzeugung und -priifung beschrieben. 

3 0 Dabei werden die einzelnen aufeinander abgestimmten Teilmodu- 

le iiber spezielle Gruppen und Halbgruppen realisiert. Hier- 
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durch entfallt einerseits die umstandliche Langzahl -Modulo- 
Arithmetik, welche nach bisheriger Technik erheblichen Platz- 
bedarf auf einem Chip erfordert, andererseits lassen sich da- 
mit die mindestens vier genannten Module bzw. Algorithmen in 
einer gemeinsamen Basis hardwaretechnisch realisieren, wel- 
ches ebenfalls Platz ggf . auf dem Chip einspart. 

Weitere Ausgestaltungen der Erfindung sind in den Unteran- 
spriichen angegeben. 

Die Erfindung wird nachfolgend an einem Ausf uhrungsbei spiel 
anhand von Zeichnungen naher erlautert : 

Figur 1 zeigt schematisch den Ablauf des erf indungsgemaSen 

Verfahrens zur authent isierten Datemibertragung zwi- 
schen der beweisf iihrenden und der verif izierenden 
Einheit . 

Eine Chipkarte wird in den CAD (card adapter device) eines 
Terminals gesteckt . Das Terminal erhalt von der Chipkarte zu- 
nachst den offentlichen Schliissel 8 der Chipkarte versehen 
mit dem Zertifikat eines Trust -Centers . Die Chipkarte bzw. 
die integrierte Schaltung auf der Chipkarte ubernimmt im fol- 
genden die Aufgabe des Provers bzw. der beweisf iihrenden Ein- 
heit 1, da sie ihre Identitat und die Authent izitat ihrer 
Daten gegenuber dem Terminal nachzuweisen hat, welches im 
folgenden die Position des Verifiers bzw. der verif izierenden 
Einheit 2 iibernimmt . Nachfolgend wird erf indungsgemaS die au- 
thentisierte Ubermittlung eines Datensatzes vom Prover an den 
Verifier beschrieben, wie in Figur 1 dargestellt ist . 
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Der Prover halt auSerdem einen nur ihm bekannten privaten 
Schlussel 7, welcher mit dem offentlichen Schlussel 8 ein 
Paar bildet. Der Verifier besitzt ein erstes Verschlusse- 
lungsverf ahren 3, mit dem die als Zuf allselemente erzeugten 
Datenelemente 9 zu einem Chiffrat bzw. verschliisselten Da- 
tenelement 9 1 verschliisselt werden konnen . In das Verschliis- 
selungsverf ahren gehen desweiteren Halbgruppenelemente und 
zusatzlich vom Verifier erzeugte Zuf allszahlen fur die dis- 
krete Exponentiation ein. Fur dieses erste Verschliisselungs- 
verfahren 3 sowie fur die weiteren noch zu beschreibenden 
Algorithmen werden in diesem Ausf iihrungsbeispiel basierend 
auf Gruppen und Halbgruppen folgende Auspragungen genutzt, 
wobei samtliche Verknupf ungen der vorkommenden Objekte auf 

die Arithmetik in endlichen Korpern GF^2 n j zuruckf uhrbar 
sind : 

H : eine von dem Punkt h erzeugte Gruppe von Punkten 



auf einer elliptischen Kurve uber GFl2 




wobei 



d s k 



f 



priv 



insbesondere H eine Halbgruppe ist; 
ist die identische Abbildung; 
ist der private Schlussel 7; 




ist der offentliche Schlussel 8; 



G 



ist die multiplikative Gruppe in GF 




ist die multiplikative Gruppe 




mit 



n 



- 1 



n ungerade 



m = 



2 



G 2 



ist die additive Gruppe in GF 
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7i : H — > G ist eine Funktion, welche einen Kurvenpunkt 

(Px> Py) ^ er elliptischen Kurve mit p x * 0 auf 

das Element Px"" 1 abbildet . 
: G — > Gi 7ii(z) besteht aus den oberen m Bits von z 

71 2 : G — > G2 712(2) besteht aus den unteren m Bits von z 

Der Protokollablauf sieht f olgendermaSen aus: 
Step 1 (Schritt b) : der Verifier 2 erzeugt eine Zufallszahl 
und ein Zuf allselement z^ e G als Datenelement 9; 

Step 2 (Schritt c) : 

i) der Verifier 2 berechnet im ersten Verschlusselungs 

verfahren 3 die Elemente h fc und 

kpu^ = r = ( r x* r y) e H; 

ii) der Verifier 2 berechnet im ersten Verschlusselungs 
verfahren 3 aus dem offentlichen Schlussel 8 von 

k pub ^as Element ^(kp^ 11 ) = Ex*" 1 e G; 

iii) der Verifier 2 verschliisselt das Datenelement 9 im 
ersten Verschliisselungsverf ahren 3 durch die Ver- 

knupfung Z]_ ° r x _1 e G ; 
Step 3 (Schritt d) : der Verifier 2 ubermittelt als Chiffrat 

das verschlusselte Datenelement 9' und das Element h fc ; 
Step 4 (Schritt e) : 

i) der Prover 1 berechnet anhand des gesendeten Elemen- 

tes h t im ersten Ent schlusselungsverf ahren 7 mittels 
des privaten Schliissels 7 durch 

(h 1 ^ = [h d ] = kp^ 11 = (r x/ r y ) den Kurvenpunkt, ohne 
selbst in Kenntnis von t zu sein; 
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ii) der Prover 1 berechnet anhand des verschliisselten Da- 
tenelementes 9 ■ und dem berechneten Element r x aus 
dem gesendeten Chiffrat im ersten Entschltisselungs - 

verfahren 4 mit = (z x o r x " 1 )o r x e G das unver- 
schliisselte Datenelement 9; 
Step 5 (Schritt a) : der in Figur 1 auch mit m bezeichnete Da- 
tensatz 10 wird im Klartext vom Prover 1 an den Verifier 
2 gesendet; 

Step 6 (Schritt f ) : der Prover 1 bildet den in Figur 1 auch 
mit D bezeichneten Authentikator 11 im zweiten Verschlus- 
selungsverf ahren 5 durch die Verknupfung 

D = 7r^(z]_) ° m 4- 7C2(Z]_) anhand der nun als Schlussel verwen- 

deten Datenelemente 9; 

Step 7 (Schritt g) : der Prover 1 iibermittelt den Authentika- 
tor 11 an den Verifier 2; 

Step 8 (Schritt h) : der Verifier 2 berechnet im Authentikati 
onsalgorithmus 6 aus der Verknupfung D' = ^(z^ o m + 112(^1) 
den Ref erenzauthentikator 11 1 , wobei der Authent ikat i - 
onsalgorithmus 6 die gleichen Rechenoperat ionen wie das 
zweite kryptographische Verfahren ausfuhrt; 

Step 9 (Schritt i) : der Verifier 2 iiberpruft die Identitat 

des Authentikators 11 mit dem Ref erenzauthentikator 11': 
falls D=D ' , wird der Datensatz 10 mit Wert m als vom Pro 
ver 1 iibermittelt akzeptiert; 
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Patentanspruche 

1. Verfahren zur Authentikat ion eines Datensatzes (10) zwi- 
schen einer beweisf iihrenden Einheit (1) und einer verifizie- 
5 renden Einheit (2) in der Datenverarbeitung, umfassend die 
Schritte : 

a) der Datensatz (10) wird von einer der beiden Einheiten (1, 
2) zur jeweils anderen derart ubermittelt, dafi er nach der 
Ubermittlung beiden Einheiten (1, 2) unverschliisselt vor- 

10 liegt, 

b) die verif izierende Einheit (2) erzeugt wenigstens ein Da- 
tenelement (9) , 

c) die verif izierende Einheit (2) verschlussel t das wenig- 
stens eine Datenelement (9) in einem ersten kryptographi - 

15 schen Verschliisselungsverf ahren (3) mittels eines der 

verif izierenden Einheit (2) bekannten offentlichen Schlus- 
sels (8) der beweisf iihrenden Einheit (1) , 

d) die verif izierende Einheit (2) ubermittelt das wenigstens 
eine verschlusselte Datenelement (9 ! ) an die beweisf iihren- 

20 de Einheit (1) , 

e) die beweisf uhrende Einheit (1) ent schlussel t das wenig- 
stens eine verschlusselte Datenelement (9') in einem dem 
ersten Verschliisselungsverf ahren (3) zugeordneten ersten 
Entschliisselungsverf ahren (4) mittels eines nur ihr be- 

25 kannten privaten Schliissels (7) , 

f) die beweisf uhrende Einheit (1) berechnet aus dem zu au- 
thentisierenden Datensatz (10) in einem zweiten kryptogra- 
phischen Verfahren (5) einen von dem wenigstens einen 
Datenelement (9) abhangigen Authent ikator (11), 

30 g) die beweisf iihrende Einheit (1) ubermittelt den Authentika- 
tor (11) an die verif izierende Einheit (2), 
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h) die verif izierende Einheit (2) pruft mit Hilfe eines dem 
zweiten kryptographischen Verfahren (5) zugeordneten Au- 
thentikationspruf algorithmus (6) unter Verwendung des we- 
nigstens einen unverschliisselten Datenelementes (9) und 

5 des Datensatzes (10) den Authent ikator (11) , 

i) in Abhangigkeit vom Priif ergebnis akzeptiert die verifizie- 
rende Einheit (2) den Datensatz (10) als von der beweis- 
fuhrenden (1) Einheit ubermittelt. 

0 2 . Verfahren nach Anspruch 1 , 

dadurch gekennzeich.net, d a 6 
in Schritt a) die beweisf iihrende Einheit (1) den Datensatz 
(10) unverschlusselt an die verif izierende Einheit (2) uber- 
mittelt . 

5 

3. Verfahren nach Anspruch 1, 

dadurch gekennzeichnet, d a £ 
die verif izierende Einheit (2) den Datensatz (10) als Zufall- 
selement erzeugt und anschlieSend in Schritt a) den Datensatz 
0 (10) an die beweisf iihrende Einheit (1) ubermittelt. 

4. Verfahren nach einem der Anspriiche 1 bis 3, 
dadurch gekennzeichnet, daS 
in Schritt h) 

5 - der Authentikat ionspriif algorithmus (6) im wesentlichen 

identisch mit dem zweiten kryptographischen Verfahren zur 

Authent ikatorerzeugung (5) ist, 
- der Authent ikat ionspriif algorithmus (6) von der verif izie- 

renden Einheit (2) auf das wenigstens eine unverschliisselte 
0 Datenelement (9) und den Datensatz (10) zur Bildung eines 

Ref erenzauthentikators (ll 1 ) angewendet wird, 
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- der Ref erenzauthent ikator (11') mit dem Authentikator (11) 
verglichen wird. 

5. Verfahren nach einem der Anspruche 1 bis 3, 

5 dadurch gekennzeichnet, d a £ 
in Schritt h) 

- der Authentikationspriif algorithmus (6) aus einem Entschlus- 
selungsverf ahren besteht, das dem zweiten kryptographischen 
Verfahren (5) zur Erzeugung eines Authent ikators , dem zuge- 

0 horigen Verschliisselungsverf ahren, entspricht, 

- der Authentikationspriif algorithmus (6) von der verifizie- 
renden Einheit (2) auf den Authentikator (11) durch Ent- 
schlusselung zur Bildung eines Ref erenzdatenelementes und 
eines Ref erenzdatensat zes angewendet wird, 

5 - das Ref erenzdatenelement und der Ref erenzdatensatz mit dem 
unverschliisselten Datenelement (9) und dem unverschlussel- 
ten Datensatz (10) verglichen werden . 

6. Verfahren nach einem der Anspruche 1 bis 5, 

0 dadurch gekennzeichnet, d a 15 

- die Schritte b) , c) , d) und e) zur Erzeugung wenigstens ei- 
nes weiteren Datenelementes (9) vor Schritt f) wiederholt 
werden, 

- die beweisf iihrende Einheit (1) den zu authent isierenden Da- 
5 tensatz (10) in Schritt f) in Abhangigkeit von dem wenig- 
stens einen Datenelement (9) und dem wenigstens einen 
weiteren Datenelement (9) zu einem Authentikator (11) ver- 
schlusselt . 

0 7. Verfahren nach einem der Anspruche 1 bis 6, 

dadurch gekennzeichnet, dafi 
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das erste kryptographische Verschlusselungsverf ahren (3) und 
das diesem zugeordnete erste Entschlusselungsverf ahren (4) 
mittels diskreter Exponentiation in einer Halbgruppe durchge- 
fiihrt wird. 

8 . Verf ahren nach Anspruch 7 , 

dadurch gekennzeichnet, d a S 
das erste kryptographische Verschlusselungsverf ahren (3) und 
das diesem zugeordnete erste Entschlusselungsverf ahren (4) 
mittels eines Algorithmus basierend auf elliptischen Kurven 
durchgef iihrt wird . 

9. Verf ahren nach einem der Anspriiche 7 oder 8, 
dadurch gekennzeichnet, d a 6 

das erste kryptographische Verschlusselungsverf ahren (3) die 
folgenden Operationen umf aSt : 

- die verif izierende Einheit (2) erzeugt eine Zahl t e T , 
wobei T ein Teilbereich der ganzen Zahlen ist, 

- die verif izierende Einheit (2) berechnet das Element 

h f ^ e H , wobei f : T — > T eine Abbildung ir. einen nicht 
notwendigerweise von T verschiedenen Teilbereich T der 
ganzen Zahlen ist, H eine durch das Element h erzeugte, 
multiplikativ geschriebene Halbgruppe darstellt mit der 
diskreten Exponentiation zur Basis h als Einwegf unkt ion in 
der Halbgruppe H, 

- die verif izierende Einheit (2) berechnet aus dem offentli- 

chen Schliissel (8), kp U j =) = h f ^ € H, das Element 



gruppe H in eine Gruppe G angibt , d = kp r j_ v e T der nur 
der beweisf uhrenden Einheit zugangliche private Schliissel 




wobei n : H —> G eine Abbildung der Halb- 
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(7) ist, und die Abbildung t -> h f(t) -> Tc(h f(t) ) vom Teilbe- 
reich der ganzen Zahlen T auf die Gruppe G eine Einwegfunk- 
tion darstellt, 

- die verif izierende Einheit (2) verschlusselt das wenigstens 
5 eine Datenelement (9), z, durch eine Verknupfung zum ver- 

schlusselten Datenelement (9 1 ) , z' = z o 7t(kp U ]3 f ^ ) e G . 

10. Verfahren nach Anspruch 9, 

dadurch gekennzeichnet, dafi 
^.0 die verif izierende Einheit (2) in Schritt d) zusatzlich zum 

verschlusselten Datenelement (9') das Element e H an 

die beweisf uhrende Einheit (1) ubermittelt . 

11. Verfahren nach Anspruch 10, 

15 dadurch gekennzeichnet, d a £ 

das erste kryptographische Entschlusselungsverf ahren (4) die 
f olgenden Operationen umf aSt : 

- die beweisf uhrende Einheit (1) berechnet mittels der Funk- 
tion f, des Elementes h^*^ e H und des nur ihr bekannten 



20 privaten Schliissels d das Element kp^*^ e H, 



- die beweisf uhrende Einheit (1) berechnet das zum Element 

n (kpub f ^) e G inverse Element n 1 (kpub*^) G G ' 

- die beweisf uhrende Einheit (1) entschlussel t das verschliis- 
s'elte Datenelement (9 1 ) durch die Verknupfung des ver- 

25 schlusselten Datenelementes mit dem inversen Element: 

Z = Z'OTI' (k pub f ^), 

wobei dem ersten kryptographischen Entschlusselungsverf ahren 
(4) die gleichen Abbildungen f, n und die gleiche Verknupfung 



P2001 / 0154 DE E 



20 

o zugrundeliegen wie dem ersten kryptographischen Verschliis- 
selungsverf ahren (3) . 

12. Verf ahren nach Anspruch 11, 

dadurch gekennzeichnet, d a £ 

das zweite kryptographische Verf ahren (5) die folgenden Ope- 

rationen umf aSt : 

- die beweisf iihrende Einheit (1) berechnet aus dem wenigstens 
einen unverschliisselten Datenelement z ein Element 

92 = ^lC 2 ) G G l und ein Element g2 = ^C 2 ) G G 2 * wobei Gi 
und G2 Gruppen mit G^ a G2 darstellen und : G — > und 

7i 2 : G — > G2 Funktionen darstellen, welche Elemente der 
Gruppe G auf die Gruppen G]_ oder G2 abbilden, 

- die beweisf iihrende Einheit (1) transf ormiert den zu authen- 
tisierenden Datensatz (10) , m, zu einem Element g 1 = (g^ * m) 
mit einer Gruppenverknupf ung * in G^ , 

- die beweisf iihrende Einheit (1) berechnet den Authent ikator 
(11) , D, durch D = inj(g') • g2 mit der Gruppenverkniipf ung • 
in G2 / wobei die Abbildung inj : G^ — > G2 Elemente aus G 1 
injektiv in G2 abbildet . 

13. Verf ahren nach einem der Anspriiche 1 bis 12, 
dadurch gekennzeichnet, d a £ 
vor Schritt b) 

- die beweisf iihrende Einheit (1) ihren offentlichen Schliissel 
(8) mit einem Zertifikat eines Trust -Centers iibermittelt , 

- die verif izierende Einheit (2) mittels eines Zertifizie- 
rungsverf ahrens die Giiltigkeit des offentlichen Schliissels 
(8) der beweisf iihrenden Einheit (1) iiberpriift, 
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- die verif izierende Einheit (2) die Kommunikat ion mit der 
beweisfiihrenden Einheit (1) in Abhangigkeit des Ergebnisses 
der Uberpriifung fortsetzt. 

14. Verfahren nach einem der Anspriiche 1 bis 13, 
dadurch gekennzeich.net, dafi 

die beweisf iihrende Einheit (1) eine integrierte Schaltung auf 
einer Chipkarte ist, und die verif izierende Einheit (2) ein 
Chipkartenterminal ist . 

15. Verfahren nach einem der Anspruche 1 bis 13, 
dadurch gekennzeichnet, daS 

die beweisf uhrende Einheit (1) eine integrierte Schaltung in 
einem Identif ikations-/Authentikationstoken ist, welches fest 
mit einem nicht ortsgebundenen Objekt verbunden ist. 

16. Verfahren nach einem der Anspriiche 14 oder 15, 
dadurch gekennzeichnet, d a 15 

die Kommunikation zwischen beweisf uhrender Einheit (1) und 
verif izierender Einheit (2) kontaktlos erf olgt . 
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Zusammenf assung 

Verfahren zur Authentikat ion 

Eine Methode zur Authentikat ion und Ident if ikat ion verwendet 
einerseits unterschiedliche Schlussel (7, 8) fur den Prover 
(1) und den Verifier (2) , verzichtet andererseits aber auf 
die Benutzung von Langzahl -Modulo-Arithmetik durch die Ver- 
wendung einfacher Grundkomponenten wie beispielsweise arith- 
metische Operationen in endlichen Korpern GF(2 n ). Ein 
privater Schlussel (7) ist beim Prover (1) hinterlegt, so dafi 
dieser als Zuf allselemente erzeugte Datenelemente (9) ver- 
schlusselt empfangen und selber wieder als Schlussel fur ein 
Authentikationsverf ahren eines zu iibertragenden Datensatzes 
10 benutzen kann. Der Verifier (2) empfangt den so gebildeten 
Authentikator (11) und pruft ihn. Wir der Datensatz vom Veri- 
fier (2) erzeugt und an den Prover (1) gesendet, so kann die- 
ses Verfahren zur Identif ikation des Provers (1) dienen. 
Besonders vorteilhaft ist diese Verfahren im Bereich von 
Chipkarten, da dort der benotigte Platz bei der Hardwareim- 
plementation erheblich reduziert werden kann. 



Figur 1 
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Bezugszeichenliste 



1 Beweisfuhrende Einheit, Prover 

2 Verif izierende Einheit, Verifier 

5 3 erstes Verschlusselungsverf ahren, asymmetrisch 

4 erstes Entschliisselungsverf ahren, asymmetrisch 

5 zweites kryptographisches Verf ahren; Algorithmus zur 
Erzeugung eines Authent ikators 

6 Authent ikationspruf algorithmus 
10 7 privater Schliissel 

^p^. 8 offentlicher Schliissel 

9 Datenelement , unverschliisselt 
9' Datenelement, verschlussel t 

10 Datensatz 

15 11 Authentikator 

11 1 Ref erenzauthentikator 
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